Ajouter ou supprimer des connexions de site à site de la passerelle VPN

Cet article vous aide à ajouter ou à supprimer des connexions de site à site (S2S) pour une passerelle VPN. Vous pouvez également ajouter des connexions S2S à une passerelle VPN qui dispose déjà d'une connexion S2S, d'une connexion point à site ou d'une connexion de réseau virtuel à réseau virtuel. L’ajout de connexions est soumis à certaines limitations. Consultez la section Configuration requise de cet article pour effectuer des vérifications avant de commencer votre configuration.

À propos des connexions coexistantes ExpressRoute/de site à site

• Vous pouvez suivre les étapes de cet article pour ajouter une nouvelle connexion VPN à une connexion existante ExpressRoute/de site à site coexistante.
• Vous ne pouvez pas suivre les étapes de cet article pour configurer une nouvelle connexion coexistante ExpressRoute/de site à site. Pour créer une nouvelle connexion coexistante, reportez-vous à : Connexions coexistantes ExpressRoute/S2S.

Prérequis

Vérifiez les points suivants :

• Vous ne configurez PAS une nouvelle de connexion de site à site de passerelle VPN et ExpressRoute coexistante.
• Vous disposez d’un réseau virtuel qui a été créé selon le modèle de déploiement Resource Manager avec une connexion existante.
• La passerelle de votre réseau virtuel est RouteBased. Si vous avez une passerelle VPN de type PolicyBased, vous devez supprimer la passerelle de réseau virtuel et créer une passerelle VPN de type RouteBased.
• Aucune des plages d'adresses ne se chevauche pour aucun des réseaux virtuels auxquels ce réseau virtuel se connecte.
• Vous disposez d’un périphérique VPN compatible et d’une personne capable de le configurer. Consultez À propos des périphériques VPN. Si vous ne maîtrisez pas la configuration de votre appareil VPN ou les plages d’adresses IP mentionnées dans la configuration de votre réseau local, vous devez contacter une personne qui peut vous fournir ces informations.
• Vous disposez d’une adresse IP publique exposée en externe pour votre périphérique VPN.

Créer une passerelle de réseau local

Créez une passerelle de réseau local qui représente la branche ou l'emplacement auquel vous souhaitez vous connecter.

La passerelle réseau locale est un objet spécifique qui représente votre emplacement local (le site) à des fins de routage. Donnez au site un nom auquel Azure pourra se référer, puis spécifiez l’adresse IP du périphérique VPN local vers lequel vous allez créer une connexion. Spécifiez également les préfixes d’adresses IP qui seront acheminés via la passerelle VPN vers le périphérique VPN. Les préfixes d’adresses que vous spécifiez sont les préfixes situés sur votre réseau local. En cas de modification du réseau ou si vous devez modifier l’adresse IP publique de l’appareil VPN, il est simple de mettre à jour les valeurs ultérieurement.

Dans cet exemple, nous créons une passerelle réseau local en utilisant les valeurs suivantes.

• Nom : Site1
• Groupe de ressources : TestRG1
• Emplacement : USA Est

1. Dans le portail Azure, dans Rechercher dans les ressources, services et documents (G+/), entrez passerelle réseau locale. Recherchez passerelle réseau locale sous Place de marché dans les résultats de la recherche, puis sélectionnez-la pour ouvrir la page Créer une passerelle réseau locale.

2. Dans la page Créer une passerelle réseau locale, sous l’onglet Informations de base, spécifiez les valeurs de votre passerelle réseau locale.

   

   • Abonnement: Vérifiez que l’abonnement approprié s’affiche.
   • Groupe de ressources : sélectionnez le groupe de ressources à utiliser. Vous pouvez créer un groupe de ressources ou en sélectionner un déjà créé.
   • Région : sélectionnez la région où cet objet sera créé. Vous pouvez sélectionner la même localisation que celle de votre réseau virtuel, mais vous n’êtes pas obligé de le faire.
   • Nom : Spécifiez un nom pour votre objet de passerelle de réseau local.
   • Point de terminaison : sélectionnez le type de point de terminaison du périphérique VPN local en tant qu’adresse IP ou FQDN (nom de domaine complet).
     • Adresse IP : si vous disposez d’une adresse IP publique statique allouée par votre fournisseur de services Internet (ISP) à votre périphérique VPN, sélectionnez l’option Adresse IP. Indiquez l’adresse IP, comme le montre l’exemple. Cette adresse est l’adresse IP publique du périphérique VPN auquel vous souhaitez que le service Passerelle VPN Azure se connecte. Si vous ne disposez pas de l’adresse IP pour le moment, vous pouvez utiliser les valeurs affichées dans l’exemple. Plus tard, vous devrez revenir et remplacer l’adresse IP de votre espace réservé par l’adresse IP publique de votre périphérique VPN. Sinon, Azure ne pourra pas se connecter.
     • FQDN : si vous disposez d’une adresse IP publique dynamique qui peut changer après un certain temps, souvent déterminé par votre fournisseur de services Internet (ISP), vous pouvez utiliser un nom DNS constant avec un service DNS dynamique pour pointer vers l’adresse IP publique actuelle de votre périphérique VPN. Votre passerelle de réseau privé virtuel (VPN) Azure résout le nom de domaine complet (FQDN) pour déterminer l’adresse IP publique à laquelle se connecter.
   • Espace d’adressage : l’espace d’adressage fait référence aux plages d’adresses réseau que représente ce réseau local. Vous pouvez ajouter plusieurs plages d’espaces d’adressage. Assurez-vous que les plages que vous spécifiez ici ne se chevauchent pas avec les plages d’autres réseaux auxquels vous souhaitez vous connecter. Azure achemine la plage d’adresses que vous spécifiez vers l’adresse IP du périphérique VPN local. Utilisez ici vos propres valeurs (et non les valeurs indiquées dans l’exemple) si vous voulez vous connecter à votre site local.

   Remarque

   • Le service Passerelle VPN Azure ne prend en charge qu’une seule adresse IPv4 pour chaque FQDN. Si le nom de domaine est résolu en plusieurs adresses IP, le service Passerelle VPN utilise la première adresse IP retournée par les serveurs DNS. Pour éliminer toute incertitude, nous vous recommandons que le nom FQDN soit toujours résolu en une seule adresse IPv4. IPv6 n’est pas pris en charge.
   • Passerelle VPN gère un cache DNS actualisé toutes les 5 minutes. Elle ne tente de résoudre les noms FQDN que pour les tunnels déconnectés. La réinitialisation de la passerelle déclenche également la résolution du FQDN.
   • Bien que la passerelle VPN Azure prenne en charge plusieurs connexions à différentes passerelles de réseau local avec différents noms de domaine complets, tous les noms de domaine complets doivent être résolus en différentes adresses IP.

3. Sous l’onglet Avancé, vous pouvez configurer les paramètres BGP, si nécessaire.

4. Une fois que vous avez spécifié les valeurs, sélectionnez Vérifier + créer au bas de la page pour valider celle-ci.

5. Sélectionnez Créer pour créer l’objet de passerelle de réseau local.

Configuration de votre périphérique VPN

Les connexions de site à site vers un réseau local nécessitent un appareil VPN. Dans cette étape, vous configurez votre périphérique VPN. Lorsque vous configurez votre périphérique VPN, vous avez besoin des valeurs suivantes :

• Une clé partagée. Il s’agit de la clé partagée spécifiée lors de la création de la connexion VPN de site à site. Dans nos exemples, nous utilisons une clé partagée basique. Nous vous conseillons de générer une clé plus complexe.
• L’adresse IP publique de votre passerelle de réseau virtuel. Vous pouvez afficher l’adresse IP publique à l’aide du portail Azure, de PowerShell ou de l’interface de ligne de commande. Pour rechercher l’adresse IP publique de votre passerelle VPN à l’aide du Portail Azure, accédez à Passerelles de réseau virtuel, puis sélectionnez le nom de votre passerelle.

Selon le périphérique VPN dont vous disposez, vous pouvez éventuellement télécharger un script de configuration de périphérique VPN. Pour plus d’informations, consultez la page Télécharger des script de configuration de périphérique VPN.

Pour plus d’informations sur la configuration, consultez les liens suivants :

• Pour plus d’informations sur les périphériques VPN compatibles, consultez Périphériques VPN.
• Avant de configurer votre périphérique VPN, recherchez les problèmes de compatibilité connus avec le matériel pour le périphérique VPN à utiliser.
• Pour obtenir des liens vers les paramètres de configuration des périphériques, consultez Périphériques VPN validés. Les liens de configuration des périphériques sont fournis dans la mesure du possible. Il est toujours préférable de vérifier les dernières informations de configuration auprès du fabricant du périphérique. La liste répertorie les versions que nous avons testées. L’absence de votre système d’exploitation de cette liste n’exclut pas sa compatibilité. Contactez le fabricant de votre périphérique pour vérifier que la version du système d’exploitation du périphérique VPN est compatible.
• Pour une vue d’ensemble de la configuration des périphériques VPN, consultez Vue d’ensemble des configurations de périphériques VPN tiers.
• Pour plus d’informations sur la modification des exemples de configuration des périphériques, consultez la page Modifier les exemples.
• Pour les exigences de chiffrement, consultez sur les exigences de chiffrement et les passerelles VPN Azure.
• Pour en savoir plus sur les paramètres IPsec/IKE, consultez À propos des périphériques VPN et des paramètres IPsec/IKE pour les connexions de passerelle VPN site à site. Ce lien affiche des informations sur la version d’IKE, le groupe Diffie-Hellman, la méthode d’authentification, les algorithmes de chiffrement et de hachage, la durée de vie de la SA, le PFS et le DPD ainsi que d’autres informations sur les paramètres dont vous avez besoin pour effectuer votre configuration.
• Pour connaître les étapes de configuration d’une stratégie IPsec/IKE, consultez Configurer une stratégie IPsec/IKE pour les connexions VPN site à site ou les connexions de réseau virtuel à réseau virtuel.
• Pour connecter plusieurs périphériques VPN basés sur des stratégies, consultez Connecter des passerelles VPN à plusieurs périphériques VPN basés sur des stratégies via PowerShell.

Configurer une connexion

Créez une connexion VPN site à site entre votre passerelle de réseau virtuel et votre périphérique VPN local.

Créez une connexion à l’aide des valeurs suivantes :

• Nom de passerelle de réseau local : Site1
• Nom de la connexion : VNet1toSite1
• Clé partagée : pour cet exemple, nous utilisons abc123. Toutefois, vous pouvez utiliser n’importe quelle valeur compatible avec votre matériel VPN. L’important est que les valeurs soient les mêmes de part et d’autre de la connexion.

1. Accédez à votre réseau virtuel. Dans la page de votre réseau virtuel, sur la gauche, sélectionnez Appareils connectés. Recherchez votre passerelle VPN, puis sélectionnez-la pour l’ouvrir.

2. Dans la page de votre passerelle, sélectionnez Connexions.

3. En haut de la page Connexions, sélectionnez + Ajouter pour ouvrir la page Créer une connexion.

   

4. Dans la page Créer une connexion, sous l’onglet Informations de base, configurez les valeurs de votre connexion :

   • Sous Détails du projet, sélectionnez l’abonnement et le groupe de ressources où se trouvent vos ressources.

   • Sous Détails de l’instance, configurez les paramètres suivants :

     • Type de connexion : Sélectionnez Site à site (IPsec) .
     • Nom : Nommez votre connexion.
     • Région : sélectionnez la région pour cette connexion.

5. Sélectionnez l’onglet Paramètres, puis configurez les valeurs suivantes :

   

   • Passerelle réseau virtuelle : sélectionnez la passerelle réseau virtuelle dans la liste déroulante.
   • Passerelle réseau locale : sélectionnez la passerelle réseau locale dans la liste déroulante.
   • Clé partagée : la valeur ici doit correspondre à la valeur que vous utilisez pour votre périphérique VPN local.
   • Protocole IKE : sélectionnez IKEv2.
   • Utiliser l’adresse IP privée Azure : ne cochez pas la case.
   • Activer BGP : ne cochez pas la case.
   • FastPath : ne cochez pas la case.
   • Stratégie IPsec/IKE : sélectionnez Par défaut.
   • Utiliser le sélecteur de trafic basé sur une stratégie : sélectionnez Désactiver.
   • Délai d’expiration de DPD en secondes : sélectionnez 45.
   • Mode de connexion : sélectionnez Par défaut. Ce paramètre est utilisé pour spécifier la passerelle pouvant lancer la connexion. Pour plus d’informations, consultez Paramètres de la passerelle VPN - Modes de connexion.

6. Pour Associations de règles NAT, laissez Entrée et Sortie sur 0 sélectionné(e).

7. Sélectionnez Vérifier + créer pour valider vos paramètres de connexion.

8. Sélectionnez Créer pour créer la connexion.

9. Une fois le déploiement effectué, vous pouvez voir la connexion dans la page Connexions de la passerelle réseau virtuelle. L’état change, et passe de Inconnu à Connexion, puis à Opération réussie.

Afficher et vérifier la connexion VPN

Dans le Portail Azure, vous pouvez afficher l’état de la connexion d’une passerelle VPN en accédant à cette connexion. Les étapes suivantes montrent une façon d’accéder à votre connexion pour la vérifier.

1. Dans le menu Portail Azure, sélectionnez Toutes les ressources, ou recherchez et sélectionnez Toutes les ressources dans n’importe quelle page.
2. Sélectionnez votre passerelle réseau virtuelle.
3. Dans le volet de votre passerelle réseau virtuelle, sélectionnez Connexions. Vous pouvez voir l’état de chaque connexion.
4. Sélectionnez le nom de la connexion à vérifier pour ouvrir Essentials. Dans le volet Essentials, vous pouvez voir plus d’informations sur votre connexion. L’état est Opération réussie et Connecté, une fois la connexion établie.

Supprimer une connexion

1. Dans le portail, allez à la page Connexions de votre passerelle VPN.
2. Cliquez sur la connexion que vous souhaitez supprimer. La page de connexion s'ouvre.
3. Cliquez sur Supprimer pour supprimer la connexion.

Étapes suivantes

Pour en savoir plus sur les configurations de passerelle VPN de site à site, reportez-vous à Tutoriel : configurer une passerelle VPN de site à site.